SEPA: pagos en toda Europa… (y sus relaciones con la privacidad)
No solo de pan vive el hombre, y si hablamos de armonización europea, ni tan siquiera de protección de datos… Pues no. En este caso, lo que tratan de armonizar es el mercado de pagos de la zona euro… Desde 2002, los europeos podemos pagar y cobrar en efectivo en toda la zona euro, pero cuando esa corriente de cobros y pagos tiene lugar a través de los inescrutables caminos de la compensación bancaria, la cosa no resulta siempre tan fácil, y, desde luego, tampoco existe una razonable igualdad de condiciones por parte de las entidades cuando esos cobros y pagos tienen origen y destino en un solo país o cuando lo tienen en distintos estados de la zona euro, lo cual no parece muy adecuado en nuestra incansable búsqueda del mercado único…
Para resolver estas complicaciones surgidas en la libre circulación (de pasta, que es lo que sin duda cuenta aquí), la SEPA (Single European Payment Zone, o Zona Única de Pagos en Euros) desde hace tiempo trabaja en la creación de instrumentos de pago comunes. Ya hay dos instrumentos en circulación: la SEPA Credit Transfer y el SEPA Direct Debit, que van a sustituir desde ya mismo, y que de hecho ya están sustituyendo, a los servicios nacionales que conocíamos como trasferencias y recibos bancarios y que los que andamos en estas cosas de la gestión, solíamos enviar al banco en remesas normalizadas en cuadernos de la AEB (Asociación Española de Banca). En estos nuevos servicios se emplearán códigos que identifiquen internacionalmente las cuentas bancarias (IBAN) así como las propias entidades (BIC), y se incorporan algunos atributos que también permitirán identificar unívocamente al acreedor y al deudor de tales operaciones. El 1 de febrero del próximo 2014 (es decir en unos pocos días) los instrumentos SEPA se usarán para todas las transferencias y domiciliaciones en euros realizadas en la zona euro, ya sean nacionales o transfronterizas. Los países de la UE que utilizan otras monedas adoptarán también estos instrumentos para cobros y pagos en euros antes del final de octubre de 2016. Por tanto, las empresas que no lo hayan hecho ya (y en este santo país solemos dejar todo para el domingo por la tarde), deberán ponerse a estudiar los requerimientos de su gestión en estos aspectos. Si precisan más información sobre el tema, pueden encontrarla en este enlace.
Y es en este punto en el que una vez más, mi subconsciente hace que me olvide del programa de rehabilitación que estoy siguiendo para superar mi adicción al dato y me pregunte si este tema conecta de alguna manera con la privacidad –entendida la misma como manía persecutoria, no como derecho fundamental, obviamente- Comparto con todos Ustedes mis reflexiones, y les invito a todos a compartir las suyas si es que soy capaz de despertar su interés.
Lo primero que me vino a la cabeza fue si mis datos o los de alguno de mis clientes, con estas juergas, podrían irse fuera de Europa o a algún otro país distinto de los Estados Unidos (esto último ya no me preocupa mucho, ya que no me cabe duda de que todos “estos alarmistas” que hay por ahí con temas de espionaje y otras gaitas que lo único que hacen es perjudicar los intereses comerciales, no se han parado nunca a pensar que la NSA seguro que está en Puerto Seguro… ¿no? [Por si no se han dado cuenta, soy pura ironía]) Pues bien, estos instrumentos de cobros y pagos, serán de uso en los 28 estados miembros de la Unión Europea, así como en Islandia, Liechtenstein, Noruega, Suiza y Mónaco. Islandia, Noruega y Liechtenstein forman parte del Espacio Económico Europeo, así que no hay inconveniente alguno desde esta óptica, y con Suiza, tampoco se plantean problemas puesto que su nivel de protección de datos fue admitido como equivalente o adecuado por la Comisión en el año 2000, pero Mónaco, hasta la fecha está fuera de tal clasificación por lo que si en algún momento se nos planteara la posibilidad o necesidad de operar desde o hacia tal territorio y dicha operación fuera a suponer un flujo de datos, deberíamos plantearnos la cuestión desde la aplicación, por ejemplo, del artículo 34.f) de la LOPD y contar con la autorización del Director de la Agencia, de momento, Española de Protección de Datos.
Y el segundo aspecto que llamó mi atención está relacionado con la circulación de los datos. En su día escribí un artículo en la revista Datospersonales.org de la Agencia Madrileña (D.E.P.) sobre el tema de los cuadernos de la AEB y la figura que ocupan las entidades bancarias y la que en mi opinión deberían ocupar. Defendía (y sigo defendiendo, aunque no me quede otra que aceptar el criterio de la Agencia, que para eso ella es Agencia y yo no) que la entidad a la que yo le doy una orden para que le cobre una determinada cantidad a una determinada persona (mi cliente) en una fecha que yo decido, y ello a través de un domicilio de cobro que mi cliente me ha facilitado, es un encargo de tratamiento, y de los de libro (yo decido totalmente sobre el uso, la finalidad y el contenido del fichero, y el banco se limita a realizar el cobro de lo que yo le digo en mi nombre y por mi cuenta). La Agencia contestó a mi consulta que no, que “esta Agencia, ha venido poniendo de manifiesto que, en estos casos, nos hallamos ante una cesión de datos, dado que los datos transmitidos serán incorporados a los ficheros de la entidad financiera, que procederá a su tratamiento para fines que les son propios, esto es, la gestión de cobros de acuerdo con la práctica habitual en las relaciones comerciales entre clientes y entidades bancarias”. Reflexionaba yo en aquél momento sobre la argumentación de la Agencia que me hacía dudar de la existencia de cualquier encargo de tratamiento, ya que en la mayoría de encargos, los datos se incorporan en los sistemas (porque por lo que yo sé, las entidades, en compensación, intercambian datos con otras entidades, obviamente, pero no tienen por qué incorporarlos a sus ficheros sino, eso sí, a sus sistemas) del encargado, y el encargado procederá a su tratamiento para fines que le son propios: el contable a contabilizarlos, el laboralista, a confeccionar las nóminas, y así con todos y cada uno de ellos…
Otro gallo cantará cuando las entidades bancarias hagan como algunas vienen haciendo en relación a los casi desaparecidos cuadernos de la AEB y ofrezcan a sus clientes alojar en sus aplicativos de banca electrónica sus ficheros de deudores para confeccionar remesas de los nuevos instrumentos y en ese caso, otra vez en mi humilde opinión y nuevamente en contra del criterio de la Agencia estaríamos ante un encargo de tratamiento (no deja de ser un cloud público, puesto que el responsable del fichero clientes [cliente de la entidad bancaria] empleará un espacio en los servidores de dicha entidad [encargado de tratamiento] para alojar los datos de sus deudores, y desde allí, incluirlos o no en los nuevos cuadernos de cobros o pagos).
Pero basta, no quiero volver a esa “estéril” discusión: la Agencia ha dicho que esto es una cesión, y son lentejas… Además, de lo malo-malo, es una cesión que no exige consentimiento del interesado (como pretendía la entidad con la que “me peleé”), tal y como sostiene la propia Agencia en su contestación:
“No obstante, esa regla general de consentimiento se verá exceptuada en los supuestos enumerados en el artículo 11.2 del propio precepto, entre los que se encuentra el supuesto contemplado en su letra e) según el cual no será preciso el consentimiento cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
En este caso, tal y como ha venido señalando reiteradamente esta Agencia podría considerarse que la cesión a que se refiere la consulta, consistente en la comunicación a la entidad bancaria de los datos necesarios para que se efectúen los distintos cobros derivados de la actividad del consultante, se encuentra comprendida dentro del precepto transcrito, por lo que la misma sería posible aun no mediando el consentimiento de los afectados, siempre que la entidad destinataria de los datos los utilice única y exclusivamente para el pleno cumplimiento de las obligaciones financieras derivadas de dichos datos y no para otros fines.”
Así pues, tenemos claro que estamos ante una cesión de datos necesaria para llevar a buen fin un determinado negocio y que por tanto, dicha cesión no precisa de consentimiento, pero ¿y es obligatorio o recomendable informar de tal cesión al afectado? Pues también debemos concluir que, en principio, obligación de informar no existe, puesto que el artículo 12.2 del Reglamento de la LOPD establece que “cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo”. Por tanto, debemos entender que al no existir obligación de obtener consentimiento, tampoco existe, en este caso, la de informar. Eso sí, si tenemos en cuenta lo que algún día se nos vendrá encima –o no- (y ahora sí, me refiero al futuro nuevo Reglamento…) y aplicamos su artículo 14.f) en su actual redacción, sí que tendremos que hacerlo (“los destinatarios o las categorías de destinatarios de los datos personales;”) y en todo caso, parece que hacerlo ya no es mal ejercicio de transparencia.
Pero es que además, en estos instrumentos, tenemos un buen vehículo que puede facilitarnos la labor de información hacia nuestros deudores (y ahora no hablo solo de la cesión). En los instrumentos SEPA, y concretamente en el SEPA Direct Debit, existe una obligación documental para el acreedor que además se convierte en una auténtica garantía para él: la custodia del mandato debidamente cumplimentado (y por tanto se supone que leído) por el deudor, que no es otra cosa que una orden de domiciliación por la que el deudor autoriza y consiente al acreedor a iniciar los cobros mediante el cargo en la cuenta indicada por el deudor y a la entidad del deudor a cargar en su cuenta los adeudos presentados por la entidad bancaria del acreedor.
Y digo que se convierte en garantía –y que es lo que en nuestra amada patria seguro que nos motiva para cumplirla- ya que este mandato es obligatorio, pero es que además, su tenencia limita, y mucho, los plazos de posible devolución de los cargos, que podrían llegar en ausencia de éste hasta a los trece meses tras la fecha de cargo y que en presencia de este mandato, en el caso de la herramienta pensada para adeudos entre empresarios (adeudo directo SEPA B2B), se limita –por otros motivos- a sólo dos días hábiles interbancarios.
Existen dos tipos de adeudos directos: uno de ellos se empleará para operaciones dirigidas a consumidores finales (SEPA básico (core)) y otro para tráfico entre empresas (B2B). En ambos tipos es necesario contar con ese mandato y por ello, en España se ha actualizado el folleto 50 de la serie de normas y procedimientos bancarios para diseñar una nueva orden de domiciliación adaptada a los requerimientos de los adeudos directos SEPA, tanto en su versión básica como en la B2B. Las órdenes vigentes para cobros domiciliados en el sistema tradicional antes del 01/02/2014 seguirán siendo válidas exclusivamente para el instrumento básico por lo que será necesario recabar los mandatos, como mínimo, para todos los instrumentos B2B (nuevos o viejos) así como para nuevas domiciliaciones en el core.
Por estos motivo, imagino que las empresas nos vamos a lanzar como locas a emitir a nuestros deudores estos mandatos (que por otra parte ya se encontraban recogidos en nuestra vigente Ley 16/2009, de 13 de noviembre, de Servicios de Pago). Este documento ha de contener los datos obligatorios para identificar la orden SEPA, o sea, la referencia única, nombre y domicilio del deudor, IBAN y BIC del deudor, nombre e identificador del acreedor, tipo de pago, fecha y firma del deudor, y, además, indicar claramente que se trata de un mandato de adeudo directo SEPA, pero el diseño de los mandatos es indiferente. Por tanto, nada impide que ya que va a ser un documento que pondrá en circulación el acreedor, que lo enviará al deudor para que el mismo complete sus datos personales y bancarios y tras firmarlo, se lo devuelva para su custodia, el acreedor, en el mismo, pueda incluir la información adecuada en relación al tratamiento y, por supuesto, la cesión de sus datos.
Lo dicho, que obligatorio no es, pero tampoco está de más aprovechar algunas oportunidades para ir un poco más allá de la obligación legal.
Muy buenos días…
Imagen: www.sepa.eu (Portal Europeo sobre la SEPA)